À propos de l’application de la révision des dépendances
Les propriétaires d’entreprise et les personnes avec un accès administrateur à un référentiel peuvent ajouter la action de révision des dépendances à leur entreprise et à leur référentiel, respectivement.
Le « action de révision des dépendances » fait référence à l’action spécifique qui peut signaler les différences dans une demande de tirage dans le contexte GitHub Actions. Consultez l’article dependency-review-action
. Vous pouvez utiliser action de révision des dépendances pour appliquer des révisions de dépendances sur les demandes de tirage (pull requests) dans votre référentiel. L’action analyse les versions vulnérables des dépendances introduites par les modifications de version de package dans les demandes de tirage et vous avertit des vulnérabilités de sécurité associées. Cela vous donne une meilleure visibilité de ce qui change dans une demande de tirage et contribue à éviter l’ajout de vulnérabilités à votre dépôt. Pour plus d’informations, consultez À propos de la vérification des dépendances.
Vous pouvez appliquer l’utilisation de action de révision des dépendances dans votre organisation en configurant un ensemble de règles de dépôt qui exigera que le flux de travail dependency-review-action
passe avant que les demandes de tirage puissent être fusionnées. Les ensembles de règles de dépôt sont des paramètres de règle qui vous permettent de contrôler la façon dont les utilisateurs peuvent interagir avec les branches et balises sélectionnées dans vos dépôts. Pour plus d’informations, consultez À propos des ensembles de règles and Exiger que les flux de travail passent avant la fusion.
Prérequis
Vous devez ajouter action de révision des dépendances à l’un des dépôts de votre organisation et configurer l’action. Pour plus d’informations, consultez Configuration de l’action d’évaluation des dépendances.
Application de la révision des dépendances pour votre organisation
-
Dans le coin supérieur droit de GitHub, sélectionnez votre photo de profil, puis cliquez sur Vos organisations.
-
En regard de l’organisation, cliquez sur Paramètres.
-
Dans la barre latérale gauche, dans la section « Code, planification et automatisation », cliquez sur Référentiel , puis sur Ensembles de règles.
-
Cliquez sur Nouvel ensemble de règles de branche.
-
Définissez l’État de l’application sur Actif.
-
Vous pouvez éventuellement cibler des dépôts spécifiques dans votre organisation. Pour plus d’informations, consultez Choix des référentiels à cibler dans votre organisation.
-
Dans la section « Règles », sélectionnez l’option « Exiger que les flux de travail passent avant la fusion ».
-
Dans « Configurations de flux de travail », cliquez sur Ajouter un flux de travail.
-
Dans la boîte de dialogue, sélectionnez le dépôt auquel vous avez ajouté action de révision des dépendances. Pour plus d’informations, consultez Prérequis.
-
Sélectionnez une branche ainsi que le fichier de flux de travail pour la révision des dépendances dans la boîte de dialogue améliorée.
-
Cliquez sur Créer.